UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO

UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO GUSTAVO FRANCO PORTO GOIÂNIA 2007

UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Trabalho de Projeto Final de Curso apresentado por Gustavo Franco Porto à Universidade Católica de Goiás, como parte dos requisitos para a obtenção do título de Bacharel em Ciência da Computação aprovado em / / pela Banca examinadora: Professora Adriana Silveira, Msc. UCG Orientadora Professor André Luiz Alves, Esp. UCG Professor Vicente Paulo de Camargo, Msc. UCG i

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO GUSTAVO FRANCO PORTO Trabalho de Projeto Final de Curso apresentado por Gustavo Franco Porto à Universidade Católica de Goiás, como parte dos requisitos para obtenção do título de Bacharel em Ciência da Computação. Professora Adriana Silveira de Souza Orientadora Professor, MsC. Coordenador de Projeto Final de Curso ii

AGRADECIMENTOS Primeiramente a Deus, o autor da existência, pois sem ele nada é possível. À minha família, por serem as pessoas mais importantes da minha vida. À professora Adriana Silveira, orientadora acadêmica, pelo apoio e auxílio no aprendizado e desenvolvimento do projeto. A todos os professores e colegas de graduação, por terem feito parte da minha vida durante todos esses anos. iii

(DEDICATÓRIA) Aos meus pais pela educação, amor e carinho. Aos meus irmãos e amigos. iv

RESUMO O trabalho de pesquisa executado teve como objetivo o conhecimento e entendimento do conceito de Governança de Tecnologia da Informação (TI). Foi realizado o estudo sobre uma estrutura de controle de Governança de TI, o CobiT, e uma estrutura de processos para Gerência de Serviços de TI, o ITIL. Posteriormente, foi realizado um alinhamento dessas duas estruturas de forma a aperfeiçoar a implementação da Governança de TI. O objetivo principal é demonstrar que diante das várias opções de estruturas de Governança de TI que temos disponíveis no mercado, nós podemos realizar uma combinação entre elas, criando uma estrutura de Governança de TI mais consistente e eficaz. Palavras-Chave: Governança Corporativa, Governança de TI, CobiT, ITIL. v

ABSTRACT The main objective of this research is the knowing and comprehensionship of the concept of Information Technology (IT) Governance. The study about a control structure of IT Governance, the CobiT, and a process structure of IT Service Management, the ITIL, was realized. Thereafter, an align between CobiT and ITIL was made in order to improve the implementation of IT Governance. The main objective is to recognize that we can use the many structures of IT Governance existents in combination in order to create an IT Governance structure more consistent and powerful. Key Words: Corporation Governance, IT Governance, CobiT, ITIL. vi

GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO SUMÁRIO LISTA DE FIGURAS x LISTA DE TABELAS xi LISTA DE ABREVIATURAS E SIGLAS xii 1. INTRODUÇÃO 1 1.1. CARACTERIZAÇÃO DO PROBLEMA 1 1.2. OBJETIVOS DO PROJETO 2 1.3. ESTRUTURA E CONTEÚDO DO TRABALHO 2 2. GOVERNANÇA 4 2.1. GOVERNANÇA CORPORATIVA 4 2.2. GOVERNANÇA DE TI 5 2.2.1. Framework de Governança de TI 7 2.2.2. Fatores que justificam uma boa Governança de TI 14 3. COBIT 16 3.1. FOCO NO NEGÓCIO 18 3.1.1. Critérios de informação 19 3.1.2. Recursos de TI 20 3.2. ORIENTADO A PROCESSOS 20 vii

3.2.1. PO Planejar e Organizar (Plan and Organization) 21 3.2.2. AI Adquirir e Implementar (Acquire and Implement) 21 3.2.3. DS Entregar e Apoiar (Delivery and Suport) 22 3.2.4. ME Monitorar e Avaliar (Monitor and Evaluate) 22 3.3. BASEADO EM CONTROLES 23 3.4. GUIADO POR MEDIÇÕES 24 3.4.1. Modelos de maturidade 24 3.4.2. Medidas de desempenho 25 4. ITIL 27 4.1. ORGANIZAÇÕES ENVOLVIDAS 28 4.1.1. OGC (CCTA) 28 4.1.2. ITSMF 29 4.1.3. EXIN e ISEB 29 4.2. A ESTRUTURA DO ITIL 30 4.2.1. A Perspectiva do Negócio 31 4.2.2. Gerenciamento da Aplicação 34 4.2.3. Gerência da Infra-estrutura da Tecnologia de Informação e Comunicações (TIC) 35 4.2.4. Entrega do Serviço 38 4.2.4.1. Gerência de Nível de Serviço 38 4.2.4.2. Gerência Financeira de Serviços de TI 40 4.2.4.3. Gerência de Capacidade 41 4.2.4.4. Gerência de Continuidade de Serviço de TI 42 4.2.4.5. Gerência de Disponibilidade 42 4.2.5. Suporte do Serviço 43 4.2.5.1. Central de Serviços (Service Desk) 43 4.2.5.2. Gerência de Incidente 44 4.2.5.3. Gerência de Problema 45 4.2.5.4. Gerência de Configuração 45 4.2.5.5. Gerência de Mudança 46 viii

4.2.5.6. Gerência de Liberação 46 5. ALINHAMENTO ENTRE COBIT E ITIL 47 6. CONCLUSÃO 53 7. REFERÊNCIAS BIBLIOGRÁFICAS 55 8. BIBLIOGRAFIA 57 ix

LISTA DE FIGURAS Figura 1 Framework básico de Governança de TI 8 Figura 2 Matriz de Arranjo de Governança 9 Figura 3 Matriz de Arranjo de Governança na UPS 12 Figura 4 Framework básico de Governança de TI da JP Morgan Chase 13 Figura 5 Visão geral do framework do CobiT 18 Figura 6 Modelo de controle 23 Figura 7 A estrutura do ITIL 30 Figura 8 Pessoas, processos, tecnologia e fornecedores 33 Figura 9 Gerência de aplicação 35 Figura 10 Desenvolvimento da Gerência de TIC 36 Figura 11 Aumento dos custos de gerenciamento 37 Figura 12 Relacionamento da Gerência de Nível de Serviço / Cliente 39 Figura 13 Gerência de capacidade Equilíbrio 42 x

LISTA DE TABELAS Tabela 1 Objetivos de Controle de Alto-nível do CobiT x Processos do ITIL 48 Tabela 2 Processos do ITIL x Objetivos de Controle Detalhados do Cobit 53 xi

LISTA DE ABREVIATURAS E SIGLAS AICPA CCTA CMDB CICA CobiT COSO DTI EDIFACT ESF EXIN GAO IC ICT IFAC IIA ISACA ISACF ISEB American Institute of Certified Public Accountants Central Computer and Telecommunications Agency Configuration Management DataBase Canadian Institute of Chartered Accountants Control Objective for Information and related Tecnology Committee of Sponsoring Organizations of the Treadway Commission Department of Trade and Industry Electronic Data Interchange For Administration Commerce And Transport European Social Forum Exameninstituut voor Informatica Government Auditing Standards Itens de Configuração Information and Communications Technology International Federation of Accountants Institute of Internal Auditors Information Systems Audit and Control Association Information Systems Audit and Control Fundation Information Systems Examination Board xii

ISO ITIL ITIMF ITSCM ITSEC ITSMF KGI KPI NIST OECD OGC PI RFC ROA SLA SLM SOX TCO TCSEC TI TIC UPS International Standard Organization Information Technology Infrastructure Library. Information Technology Infrastructure Management Forum IT Service Continuity Management Information Technology Security Evaluation Criteria Information Technology Service Management Forum Key Goal Indicator Key Performace Indicator National Institute of Standards and Technology Organization for Economic Cooperation and Development Office of Government Commerce Propriedade Intelectual Request For Change Return on Assets Service Level Agreement Service Level Management Sarbanes-Oxley Total Cost of Ownership Trusted Computer System Evaluation Criteria Tecnologia da Informação Tecnologia de Informação e Comunicações United Parcel Service xiii

1 GOVERNANÇA DE TI 1. INTRODUÇÃO O termo governança tem ganhado bastante destaque no mundo corporativo. Cada vez mais as empresas estão investindo em formas para tirar o máximo de proveito de seus ativos. Através da governança as empresas conseguem ter mais controle sobre as suas decisões, identificando quais são as decisões que devem ser tomadas, quem são as pessoas mais capacitadas e as formas mais viáveis para tomá-las. A Governança Corporativa é uma área que trata da gestão da organização como um todo, através de um relacionamento entre todos os responsáveis pela organização, utilizandose processos e estruturas organizacionais. Atualmente, a Tecnologia da Informação está cada vez mais presente nas organizações, consequentemente, aumentando a complexidade da sua gestão. Dentro do escopo da Governança Corporativa, encontramos a Governança de Tecnologia da Informação, que irá tratar de formas de governança específicas para o que estiver relacionado com a TI. [1] 1.1. CARACTERIZAÇÃO DO PROBLEMA Através de uma Governança da TI eficaz podemos solucionar vários problemas relacionados com a gestão da Tecnologia da Informação, como por exemplo, o alinhamento dos objetivos da TI com os objetivos do negócio. É muito importante que a TI esteja presente na organização de forma a atender ao negócio de uma forma eficiente e com o menor custo possível. Os investimentos em Tecnologia da Informação são caros e muitas vezes a organização não consegue enxergar o quanto um investimento em TI foi importante para o negócio, em se tratando de valores monetários. Devido a isso muitas vezes a organização perde por investir muito em TI de uma forma desnecessária, ou então por não realizar investimentos de TI que poderiam dar um bom retorno para o seu negócio. [1]

2 1.2. OBJETIVOS DO PROJETO O objetivo deste trabalho é abordar os conceitos de guias que vêm ganhando bastante espaço na área da Governança de TI, o CobiT e o ITIL. O CobiT e o ITIL são guias formulados em uma estrutura de documentos (framework), onde são descritos os recursos que cada uma oferece. Posteriormente fazer um alinhamento entre esses dois guias, mostrando como uma pode dar suporte à outra de forma a obter uma melhor Governança de TI. 1.3. ESTRUTURA E CONTEÚDO DO TRABALHO No capítulo 2 deste trabalho são tratados conceitos de Governança, com uma pequena abordagem sobre a Governança Corporativa e um foco maior na Governança de TI. No capítulo 3 é feito uma abordagem sobre o CobiT. O CobiT é um guia para a Governança de TI baseado em processos de controle. Ele não trata de regras e procedimentos, mas estabelece objetivos de controles que cada processo deverá alcançar. No capítulo 4 é feito uma abordagem sobre o ITIL, que é uma biblioteca de boas práticas de Gerência de Serviços de TI. O ITIL especifica várias práticas baseadas em experiências e conhecimentos de pessoas e organizações que atuam na área de TI. Pode-se dizer que ele está um nível abaixo do CobiT, especificando regras e práticas para os processos de Gerência de Serviços de TI. No capítulo 5 é realizado um alinhamento entre o ITIL e o CobiT. O CobiT como uma estrutura de controle pode oferecer um suporte para os processos do ITIL através de seus objetivos de controle, podendo dessa forma criar uma Governança de TI mais consistente e eficaz.

4 2. GOVERNANÇA 2.1. GOVERNANÇA CORPORATIVA O termo Governança Corporativa passou a ser mais conhecido no mundo dos negócios após os vários escândalos que ocorreram em meados de 2002, em grandes empresas como a Enron, WorldCom, Tyco, onde foram descobertas fraudes que tiveram grandes impactos financeiros afetando diretamente a confiança dos investidores. Como uma tentativa de recuperar essa confiança perdida e atrair investimentos, as empresas passaram a dar mais atenção à Governança Corporativa. Atualmente, grandes instituições consideram a Governança Corporativa tão importante quanto os indicadores financeiros na hora de tomar decisões sobre investimentos. A Governança Corporativa é o meio pelo qual uma empresa é gerida e controlada através de um relacionamento entre acionistas, conselhos, diretores e auditores independentes, através de processos e estruturas organizacionais. Uma empresa possui vários ativos que necessitam de governança para que haja uma coerência entre o negócio e as suas estratégias. Dentre esses vários ativos, podemos citar:

5 - Ativos humanos: pessoas, habilidades, planos de carreira, treinamento, relatório, mentoring, competências etc; etc; - Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a receber - Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança, utilização etc; - Ativos de PI: Propriedade Intelectual (PI), incluindo o know-how de produtos, serviços e processos devidamente patenteado, registrando ou embutindo nas pessoas e nos sistemas da empresa; - Ativos de TI (Tecnologia da Informação): dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação; - Ativos de relacionamento: relacionamentos dentro da empresa, bem como relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc. 2.2. GOVERNANÇA DE TI A Governança de Tecnologia da Informação refere-se aos aspectos da Governança Corporativa que diz respeito aos processos de TI. De uma forma geral, ela visa orientar os processos de TI de forma a atender corretamente os objetivos do negócio. A Governança de TI representa uma grande parcela da Governança Corporativa, uma vez que a TI está presente em praticamente todas as áreas da corporação. De todos os ativos que uma corporação administra, a Tecnologia da Informação pode ser considerada um dos mais complexos. Existem vários problemas que uma empresa enfrenta ao administrar a TI, como por exemplo:

6 - as dificuldades de fazer com que os sistemas de TI acompanhem as constantes mudanças que acontecem nos negócios; - a dificuldade de se medir o retorno dos investimentos da TI, que acaba gerando certa desconfiança nas decisões de investimentos da direção da empresa, podendo fazer com que boas oportunidades sejam perdidas; - a falta de compreensão do papel que a TI assume na empresa; empresa. - a dificuldade de criar um alinhamento das decisões de TI com o plano estratégico da A Governança da TI é uma prática poderosa para dar suporte a uma boa administração da TI e tem crescido nas empresas que têm necessidades de mostrar transparência nos processos, principalmente após a edição de legislações e normas como a Sarbanes-Oxley e Basiléia II. A Sarbanes-Oxley, também conhecida atualmente como SOX, é uma lei americana, assinada em 30 de julho de 2002, pelos senadores Paul Sarbanes (Democrata de Maryland) e Michael Oxley (Republicano de Ohio). Ela foi criada com a finalidade de garantir a confiabilidade dos mecanismos de auditoria e segurança nas empresas, para que se possa diminuir os riscos ao negócio, evitar a ocorrência de fraudes ou oferecer formas de identificá-las quando ocorrem. De uma forma geral, ela visa garantir a transparência na gestão das empresas. O Novo Acordo de Capital da Basiléia, ou Basiléia II, estabelece todas as diretrizes para que os bancos gerenciem seus riscos de crédito. O Basiléia II não afeta apenas os bancos, mas todas as organizações. Especificamente, o acordo determina que as organizações demonstrem sua capacidade de cumprir com suas obrigações de pagamento. Uma boa estrutura de Governança permite que as empresas entendam melhor qual o papel da TI na corporação e possam trabalhar a TI de forma que ela esteja voltada para atingir os seus objetivos estratégicos. Ela também é fundamental no processo decisório da TI, permitindo

7 que as decisões sejam distribuídas em toda a corporação, e não só entre a alta gerência, e ao mesmo tempo mantendo-o coerente com as estratégias da empresa. É possível obter uma melhor gerência e medição dos investimentos e do retorno da TI através de algumas métricas. A cada implementação da Governança de TI ela ganha maturidade tornando-se cada vez mais eficaz e trazendo maiores retornos para a empresa. Entende-se por Governança de TI: a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis. [1] É importante ressaltar a diferença entre Governança e Administração, a Governança vai determinar quem são os responsáveis pelas tomadas de decisões, enquanto a Administração é o processo de tomar e implementar essas decisões. Uma Governança de TI eficaz deve tratar no mínimo três questões: 1 Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? 2 Quem são os responsáveis por tomar essas decisões? 3 De que forma essas decisões são tomadas e monitoradas? Existem várias formas de aplicar o conceito de Governança de TI. Essas formas são denominadas framework de governança. Um framework, ou seja, uma estrutura de suporte definida, é algo como o caminho das pedras, o lugar por onde, ao caminharmos, estaremos predestinados a atingir o nosso objetivo, simplesmente por ele existir baseado em experiências, testes, fatos e comprovação da excelência de sua qualidade. 2.2.1. Framework de Governança de TI A seguir é descrito um framework de Governança de TI simples que se pode utilizar para alcançar respostas para essas três perguntas básicas da Governança de TI.

8 Figura 1 Framework básico de Governança de TI. [10] Basicamente, a estratégia e organização da empresa definem os comportamentos desejáveis da TI. Os arranjos de governança são criados com a finalidade de dar suporte às estratégias. Os arranjos definem direitos decisórios para as decisões-chaves de TI. A eficácia das estratégias e de sua combinação de arranjos de governança reflete-se em sua capacidade de atingir as metas de desempenho de negócio declaradas, que por sua vez, são avaliadas através de métricas e responsabilidades que são atribuídas à TI. 2.2.1.1. Matriz de Arranjo de Governança A Matriz de Arranjo de Governança, figura 2, é um guia fornecido pelo framework para que possamos responder às duas primeiras questões da Governança de TI. A Matriz de Arranjos de Governança especifica cinco decisões chaves que possuem uma ligação forte entre si. A arquitetura de TI é estruturada com base nos princípios da TI definidos pela organização e leva à construção de uma infra-estrutura de TI. A Infra-estrutura capacita o desenvolvimento de aplicações com base nas necessidades do negócio, e os investimentos de TI devem ser motivados por todas as outras quatro decisões.

9 Figura 2 Matriz de Arranjo de Governança. [10] Os princípios de TI são declarações de alto-nível sobre como a TI é utilizada no negócio. Eles estabelecem uma postura empresarial. Como exemplos de princípios de TI: Assegurar a integridade das informações, Utilizar as normas da empresa, Reutilizar antes de comprar, comprar antes de desenvolver. A arquitetura de TI é a organização lógica dos dados, aplicações e infra-estruturas, definidas a partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter a padronização e a integração técnica e de negócio desejadas. A infra-estrutura de TI são os serviços de TI coordenados de maneira centralizada e compartilhados, que provêm a base para a capacidade de TI da empresa. As decisões sobre necessidade de aplicações de negócio dizem respeito à necessidade de aplicações de TI, adquirida no mercado ou desenvolvida internamente para dar suporte ao negócio. As decisões sobre Priorização e Investimentos da TI determinam quanto e onde investir em TI, incluindo a aprovação de projetos e as técnicas de justificação.

10 Para cada uma dessas questões existe uma pessoa ou um grupo de pessoas que são responsáveis por tomá-las. A Governança de TI especifica além de quem tomará as decisões, quem contribuirá para que elas sejam tomadas. A Matriz de Arranjos de Governança utiliza seis modelos para definir os responsáveis pelas tomadas de decisões de cada uma das cinco decisões chaves de TI. Quanto mais se desce nas linhas da Matriz de Governança, mais descentralizadas serão as tomadas de decisões. Esses modelos são baseados em modelos políticos, os executivos das empresas se identificam bastante com eles. - Monarquia de negócio: refere-se aos altos executivos de negócio da corporação. Inclui comitês de executivos seniores de negócio; - Monarquia de TI: pessoas ou grupos de executivos de TI; - Feudalismo: cada uma das unidades de negócio tomam decisões independentes, pode ser formado pelos líderes das unidades de negócio ou detentores de processos-chave; - Federalismo: combinação entre o centro corporativo e as unidades de negócio, com ou sem participação do pessoal de TI; - Duopólio de TI: o grupo de TI e mais algum outro grupo (por exemplo, a alta gerência ou os líderes das unidades de negócio); - Anarquia: tomadas de decisões individuais ou por pequenos grupos de forma isolada. A Matriz de Arranjos de Governança deve ser construída levando-se em consideração os objetivos estratégicos da corporação, pois dependendo da forma que ela for elaborada irá produzir comportamentos diferentes. Portanto não existe um jeito certo de se construir a Matriz de Arranjos, o processo de tomada de decisões varia de empresa para empresa. Estudos de caso constataram que existem arranjos que são mais utilizados e que proporcionam bons desempenhos nas corporações, porém existem empresas que utilizam arranjos bem diferentes dos arranjos mais usados, e também possuem bons desempenhos na Governança, e às vezes até melhores do que as

11 empresas que utilizam os arranjos mais comuns. O segredo para o bom desempenho é elaborar a matriz de acordo com as metas estratégicas da empresa. 2.2.1.2. Mecanismos de Governança Com a Matriz de Arranjos de Governança solucionam-se as duas primeiras questões referentes à Governança de TI. Para solucionar a terceira questão como essas decisões são tomadas e monitoradas é necessário definir e implementar mecanismos de governança. Uma governança de TI eficaz adota três tipos diferentes de mecanismos: - Estruturas de tomadas de decisões: são estruturas que definem papéis organizacionais responsáveis por tomar decisões de TI, como por exemplo, comitês, equipes executivas e gerentes de relacionamento entre negócios e TI; - Processos de alinhamento: processos formais que garantem que os comportamentos cotidianos sejam consistentes com as políticas de TI e contribuam com as decisões. Incluem processos de avaliação e proposta de investimentos em TI, processos de exceções de arquitetura, acordos de nível de serviço, cobrança reversa e métricas; - Abordagens de comunicação: Comunicados, porta-vozes, canais e esforços de educação que disseminam os princípios e as políticas da Governança de TI e os resultados dos processos decisórios. 2.2.1.3. Estrutura de Governança na UPS Segundo a UPS (United Parcel Service), uma multinacional americana especializada no ramo de logística, tornar a TI um ativo competitivo requer a liderança da alta gerência. As estruturas de Governança da TI da UPS criam um controle estratégico no topo da corporação, ao mesmo tempo em que fortalece a tomada de decisões em vários níveis organizacionais. A alta gerência torna transparente a Governança de TI, fazendo com que todos compreendam o processo de propor, implementar e utilizar a Tecnologia da Informação. Através disso, a UPS

12 consegue gerar comportamentos desejáveis no que diz respeito à administração e à utilização interna da TI, e isso transparece nos lucros da empresa. [10] A Figura 3 mostra o arranjo de governança da UPS, em uma versão simples de Matriz de Arranjos de Governança. A empresa gerou minuciosamente sua Governança de TI procurando torná-la transparente para todos os executivos graças a seus mecanismos coordenados. Segundo a UPS, as decisões de princípios de TI e de investimentos de TI são delegadas aos altos gerentes da corporação, pelo fato de estarem mais fortemente relacionadas ao negócio. As decisões mais técnicas como a arquitetura de TI e a infra-estrutura de Ti são direcionadas aos altos líderes de TI. Já as decisões sobre aplicações de negócio são tomadas pelos líderes das unidades de negócio da corporação. É bom lembrar que não existe uma distribuição correta de direitos decisórios, esse arranjo de governança foi criado pela UPS de forma a atender às suas estratégias de negócio, portanto cada empresa deverá adaptá-lo às suas necessidades. Figura 3 Matriz de Arranjo de Governança na UPS.

13 2.2.1.4. A Governança de TI da JP Morgan Chase no Framework Básico A JP Morgan Chase & Co. é uma sociedade gestora de participações sociais incorporada sob a lei de Delaware em 1968 e sediada em Nova Iorque, é a firma líder mundial em serviços financeiros e uma das maiores instituições bancárias dos Estados Unidos da América. Atualmente, ela opera em mais de cinqüenta países. O framework de Governança de TI da JP Morgan Chase é descrito na figura 4. [10] Estratégias e Organização da Empresa - Construir excelência em linhas de negócios individuais; - Prover soluções integradas aos clientes; - Melhorar a eficiência; - Beneficiar-se de economias de escala; - Desenvolver a cultura uma firma uma equipe ; - Aumentar a transparência e a responsabilidade. Organização de TI e comportamentos desejáveis - Desenvolver aplicações únicas para as unidades de negócio; - Criar uma infra-estrutura compartilhada; - Simplificar a arquitetura geral da firma para facilitar o compartilhamento, a integração e reutilização; - Implementar padrões técnicos e de gestão de projetos, incluindo six sigma. Arranjos de Governança de TI O Comitê Executivo de Tecnologia e o Conselho de Tecnologia decide: - Princípios de TI; - Investimentos de TI; O Conselho de Tecnologia e os parceiros de negócios decidem; - Estratégias e prioridades de TI; - Padrões de TI; Os negócios decidem; - Necessidades de aplicações. Mecanismos de Governança de TI - CIO no Comitê Executivo; - Vice-chairs no Comitê Executivo de Tecnologia; - CIOs das unidades de negócio e líderes de infra-estrutura formam o conselho de Tecnologia; - Conselhos de Arquitetura e Engenharia definem os padrões de tecnologia. Metas de Desempenho do Negócio - Métricas distintas para cada unidade de negócio; - Nova linguagem e cultura (e.g., comprar-mantervender ); - Retenção de clientes, venda cruzada, recrutamento. Métricas e Responsabilidades de TI - Processo orçamentário do encolher para crescer ; - Métricas distintas para cada unidade de negócio; - ROI para investimentos; - Número reduzido de produtos de TI utilizados e eliminação de produtos não aprovados; - Certificação na metodologia padrão de projetos. Figura 4 Framework básico de Governança de TI da JP Morgan Chase. Um dos grandes problemas na implementação da Governança de TI é que nem todos os altos executivos conseguem explicar a Governança. Isso é um problema porque se eles não conseguem explicar como funciona a Governança na sua corporação, também não conseguem segui-la corretamente. Estudos demonstram que uma das formas mais eficaz de analisar o

14 desempenho da Governança de TI em uma corporação é a porcentagem de administradores em cargos de liderança que conseguem descrevê-la precisamente. Uma Governança de TI eficaz exige tempo e comprometimento da administração da corporação. Cada vez mais cresce a dependência da TI pelas empresas, por isso, é preciso estruturas bem definidas de Governança para manter o alinhamento entre os negócios e a TI. É muito importante que todos na organização tenham conhecimento das estruturas de Governança de TI da empresa, principalmente a alta gerência. 2.2.2. Fatores que justificam uma boa Governança de TI Existem vários motivos para que as corporações se comprometam em implementar uma Governança de TI eficaz. Estudos feitos em empresas que seguiam uma mesma estratégia de negócios mostram que, as empresas que tinham um desempenho de Governança de TI acima da média, tinham um Retorno Sobre Ativo (ROA Return On Assets) superior em até 20 %. Investimentos em Tecnologia da Informação são caros. Investimentos empresariais médios em TI excedem hoje 4,2% da receita bruta e continuam subindo. É preciso cada vez mais um controle e gerência maior para garantir que esse investimento não seja feito em vão. A Governança de TI pode auxiliar bastante as corporações à direcionar melhor seus gastos com a TI. A TI está se tornando cada vez mais pervasiva, ou seja, está em todo lugar e a todo o momento. Antigamente solicitações de gastos com TI vinham apenas do grupo de TI, hoje em dia os gastos com a TI originam-se de todas as partes da empresa. Além disso, não é só o grupo de TI que entendem da área, existem outros cargos que precisam ter um conhecimento adequado da plataforma tecnológica adotada pela empresa. Toda a empresa está envolvida com decisões e resultados da TI. Arranjos bem elaborados de TI ajudam a distribuir os processos decisórios para as pessoas certas.

15 É preciso estar sempre atento, pois novas tecnologias da informação, incluindo os serviços WEB, as tecnologias móveis e os sistemas empresariais, estão surgindo a todo instante, trazendo novas oportunidades de negócio para a corporação e podendo também gerar ameaças à competitividade da mesma. A Governança de TI ensina sobre o valor da TI. É difícil de dizer qual o valor de iniciativas ligadas a TI, pois não é algo que se consiga ver no fluxo de caixa da empresa. Esse valor vem através de melhorias nos processos ou aumento da competitividade da empresa, por exemplo. Através de uma Governança de TI eficaz as empresas podem discutir sobre o valor potencial da TI. O valor da TI depende mais do que boa tecnologia, grandes investimentos em TI não significam a solução para a melhoria do tratamento da TI na empresa, é necessário que as pessoas certas estejam envolvidas nas decisões de TI, caso contrário, por maior que seja o investimento, não valerá de nada. A alta gerência tem uma capacidade de atendimento limitada. Se todas as decisões de investimentos tiverem que ser tomadas pela alta gerência, isso pode gerar um gargalo. Porém, as decisões de TI devem ser coerentes com as metas que a alta gerência definiu para a corporação. Uma Governança de TI eficaz torna os processos decisórios mais claros e transparentes.

16 3. COBIT - Control Objectives for Information and related Technology O CobiT (Controle de Objetivos para Informação e Tecnologia Relacionada) é um guia para a governança de TI recomendado pela ISACF (Information Systems Audit and Control Fundation, www.isaca.org). Dentre os recursos que o CobiT oferece encontram-se um framework, mapas de auditoria, sumário executivo, controle de objetivos, um guia com técnicas de gerenciamento e ferramentas de implementação. A primeira publicação do CobiT foi feita em 1996 com foco no controle e análise dos sistemas de informação. Sua segunda edição em 1998 aumentou os recursos adicionando o guia prático de implementação e execução. A edição atual, já coordenada pelo IT Governance Institute, introduz as recomendações de gerenciamento de ambientes de TI dentro do modelo de maturidade de governança. Uma importante característica do CobiT é o fato de ele ser projetado para ser utilizado não apenas pelos responsáveis pela TI, usuários e auditores, mas também, pelos altos gerentes e responsáveis por processos. O CobiT fornece boas práticas definidas por profissionais especializados na área de TI. Essas práticas auxiliam a otimização dos investimentos de TI e fornece meios para medir os resultados alcançados. Elas estão distribuídas através de uma estrutura de domínios tendo como foco o controle dos processos da governança de TI e pouco foco na execução, ou seja, o CobiT é uma estrutura de controle, o seu foco está no que a organização necessita fazer e não em como é preciso ser feito.